Trust Wallet 證實,約 700 萬美元的加密貨幣已被經由遭入侵的瀏覽器外掛更新盜走。
這次漏洞只影響 Chrome 外掛的 2.68 版,該版本於 12 月 24 日發布。
該公司表示,行動錢包用戶並未受影響。
擁有 Trust Wallet 的 幣安(Binance) 創辦人 趙長鵬(Changpeng Zhao,CZ) 表示,錢包將會賠償所有受影響用戶。
「目前為止,此次駭客事件影響到 700 萬美元。Trust Wallet 會承擔。用戶資金是 SAFU。」趙長鵬於 X 上寫道。
事件經過
區塊鏈調查員 ZachXBT 於 12 月 25 日率先示警,指在收到多名 Trust Wallet 用戶資金被迅速轉出的通報後,發現本次事故。
損失發生在外掛更新後數小時內,顯示這是一次供應鏈被入侵的攻擊。
資安公司 慢霧(SlowMist) 分析惡意程式碼後發現,該程式碼是直接被植入 Trust Wallet 的原始碼中,而非透過遭入侵的第三方程式庫。
後門程式碼會在錢包解鎖時收集用戶加密過的助記詞(seed phrase),然後傳送到一個由攻擊者控制、於 12 月 8 日註冊的網域。
慢霧的分析顯示,攻擊者至少在惡意更新發布前兩週就已開始準備。
被盜資產包括比特幣、以太幣以及多條區塊鏈網路上的各類資產。
有個別用戶回報稱,在短短數分鐘內,於錢包中存放的超過 30 萬美元資產被轉走。
Trust Wallet 立即呼籲用戶停用 2.68 版,並透過官方 Chrome 線上應用程式商店升級至修補後的 2.69 版。
延伸閱讀: Bitcoin's 2019-Like Setup Points To Extended Macro Headwinds, Says Analyst
事件重要性
此事件凸顯,即使業界不斷加強防護措施,基於瀏覽器的加密貨幣錢包仍存在持續性的安全弱點。
不同於透過釣魚手法鎖定個別用戶的攻擊,這次是直接滲透 Trust Wallet 的官方發行管道,受影響的是遵循安全作業流程的用戶。
針對加密貨幣基礎設施的供應鏈攻擊在 2024 年急劇上升。
區塊鏈資安公司 Chainalysis 報告指出,截至 12 月初,加密貨幣竊盜金額已超過 34.1 億美元,高於 2023 年全年的 33.8 億美元。
這次 Trust Wallet 的漏洞,是該瀏覽器外掛第二次重大安全事件。
2023 年,硬體錢包製造商 Ledger 的安全團隊曾在 Trust Wallet 的 Chrome 外掛中發現一項關鍵漏洞,將安全強度從 256 位元降至僅 32 位元的熵。
Ledger 技術長 Charles Guillemet 表示,2023 年這個漏洞原本可能讓攻擊者在無需任何使用者互動的情況下就能掏空錢包。
該漏洞在被大規模利用前即已被發現並修補。
最新這起事件再次強調,將私鑰離線儲存的硬體錢包,依然是大額加密貨幣資產最安全的選擇。
瀏覽器外掛需要廣泛的系統權限,且同時仰賴外掛程式碼與用戶電腦本身的安全性,因此產生多個潛在攻擊向量。